Site onderuit, weer klaar en de schuldige erbij

Posted on woensdag, 10 februari, 2010 by Francis| Leave a comment

De laatste tijd had ik ineens honderden SPAM links in de hoofdpagina van WordPress. Nieuwe installatie, laatste versie erop en de database nakijken hielp allemaal niet. Op internet helaas ook nergens een oplossing te vinden. Uiteindelijk gevonden en nu ook maar openbaar voor de rest die heer last van heeft.

Na veel zoeken uitgekomen op het volgende:

Er wordt een java script in de header.php geplaatst die zorgt voor de honderden links. Deze script wordt aangeroepen door het bestand /wp-content/uploads/200x/xx/functilon.php (voor de x jaar en maand invullen).

Deze en andere (stonden bij mij drie) rare php files uit je upload-dirs verwijderen. Om zeker te weten of het een verkeerd script is, even openen in een tekst editor en je ziet alleen asci-tekst ipv gewoon php taal. Het kan natuurlijk zijn dat je virus file een andere naam heeft. Het snelst kom je er achter door te kijken wanneer je header.php is aangepast, dan in de log-file van de site zoeken naar het tijdstip, en tadaa, daar staat netjes welk script je header.php op die tijd verkloot heeft.

Alle rare bestanden uit de upload dir verwijderen, sowieso .php bestanden, en voor de zekerheid en als er verder weinig staat zou ik de hele upload dir voor betreffende maand verwijderen.

Voor het complete plaatje nog even de afzender van het virus op mijn site:

Update: Hieronder de schuldige van het verkloten van WordPress sites.

66.36.246.35 – Whois Information

OrgName: HopOne Internet Corporation
OrgID: HOPO
Address: 3311 South 120th Place
City: Tukwila
StateProv: WA
PostalCode: 98168-5125
Country: US

ReferralServer: rwhois://rwhois.hopone.net:4321

NetRange: 66.36.224.0 – 66.36.255.255
CIDR: 66.36.224.0/19
NetName: HOPONE-DCA2-1
NetHandle: NET-66-36-224-0-1
Parent: NET-66-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.HOPONE.NET
NameServer: NS5.HOPONE.NET
NameServer: NS3.HOPONE.NET
NameServer: NS2.HOPONE.NET
NameServer: NS6.HOPONE.NET
NameServer: NS4.HOPONE.NET
Comment:
Comment: HopOne Internet Corp.(R)
Comment: “The Foundation of Internet Success.”(R)
Comment: www.hopone.net
RegDate: 2002-08-27
Updated: 2005-09-26

RTechHandle: HJ48-ARIN
RTechName: Jass, Haralds
RTechPhone: +1-206-438-5909
RTechEmail: hjass@hopone.net

OrgAbuseHandle: ABUSE958-ARIN
OrgAbuseName: Abuse Department
OrgAbusePhone: 206-438-5909
OrgAbuseEmail: abuse@hopone.net

OrgTechHandle: HJ48-ARIN
OrgTechName: Jass, Haralds
OrgTechPhone: +1-206-438-5909
OrgTechEmail: hjass@hopone.net

This entry was posted in Hersenspinsels and tagged , , , . Bookmark the permalink.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

De volgende HTML tags en attributen zijn toegestaan: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>